Anmeldung




 

Thema der Woche 37. KW 2011

Der Umgang mit sensiblen Kundendaten

von Kirstin von Elm, Fachjournalistin für Wirtschaftsthemen, Mönkeberg

Alle zwei Sekunden wird weltweit ein neues Schadprogramm entwickelt. Zum besseren Schutz vor Angriffen aus dem Netz hat die Bundesregierung das neue Nationale Cyber-Abwehrzentrum eröffnet. Für die Sicherheit sensibler Kunden- und Firmendaten müssen Versicherer und Versicherungsvermittler aber weiter selbst vorsorgen.

Datenklau bei Sony, Serverausfall bei Amazon, Hackerangriffe auf Nintendo, den französischen Stromversorger EDF und den US-Militärkonzern Lockheed Martin - in den letzten Wochen wurden zahlreiche prominente Unternehmen Opfer von Datenpannen und Cyber-Angriffen. Mit dem neugeschaffenen Nationalen Cyber-Abwehrzentrum will die Bundesregierung künftig schneller auf digitale Angriffe in großem Stil reagieren und dazu die beteiligten Ämter und Behörden besser vernetzen. Einen "Cyber-Krieg" halten Experten allerdings für unwahrscheinlich - die Bedrohung für Unternehmen und ihre Kunden durch Hackerangriffe aus dem Netz ist dagegen höchst real.

Die Konsequenz einer Datenpanne

Zahlreiche Umfragen belegen, dass insbesondere kleine und mittlere Unternehmen nach wie vor zu sorglos im Umgang mit sensiblen Daten sind. Dabei drohen neben wirtschaftlichen Verlusten auch erhebliche Imageschäden und empfindliche Geldstrafen. Laut § 9 Bundesdatenschutzgesetz (BDSG) sind Unternehmen nämlich dazu verpflichtet, die erforderlichen "technischen und organisatorischen Maßnahmen" zum Schutz personenbezogener Daten zu treffen. Wer beispielsweise persönliche Kundendaten wie Bankverbindung, Gesundheits- oder Bestelldaten verliert, muss mit Geldbußen bis zu 300.000 EUR rechnen.

Außerdem sind Unternehmen verpflichtet, Datenverluste in großem Stil öffentlich bekannt zu geben, beispielsweise durch großformatige Zeitungsanzeigen.

Das optimale IT-Sicherheits-Konzept

Ein umfassendes IT-Sicherheits-Konzept sollte jedes Unternehmen erarbeiten und gemeinsam mit den Mitarbeitern umsetzen. Dazu gehören insbesondere die folgenden Punkte:

  1. Zutrittskontrollen: Wie ist sichergestellt, dass Fremde keinen Zutritt zu kritischen Räumen mit Daten und Firmenrechnern haben?

  2. Passwörter: Sind Rechner und Daten durch sichere Passwörter geschützt? Werden die Passwörter regelmäßig geändert? Halten die Mitarbeiter ihre Passwörter geheim?

  3. E-Mails: Werden E-Mails zuverlässig verschlüsselt?

  4. Virenschutz: Wird aktuelle Schutzsoftware eingesetzt und regelmäßig aktualisiert? Erstreckt sich der Schutz auch auf mobile Geräte (Handy, Notebook, Tablet-PC)?

  5. Verantwortliche: Welche Mitarbeiter sind für Datenschutz und Datensicherung zuständig? Wer kümmert sich beispielsweise um regelmäßige Datensicherung? Wer ist für Updates der Verschlüsselungs- und Antiviren-Software zuständig?

  6. Schulungen: Werden die Mitarbeiter regelmäßig in puncto Datenschutz und Datensicherheit geschult? Kennen alle die aktuellen Richtlinien?

  7. Belege: Werden sensible Papierbelege sicher und ordnungsgemäß entsorgt (Schredder, Spezialcontainer)?

  8. Systemausfall: Gibt es einen Notfallplan für technische Pannen und Systemausfälle? Ist die regelmäßige Datensicherung gewährleistet? Lassen sich gespeicherte Daten mit den aktuell verwendeten Systemen noch abrufen?

Tipp: Wie es um die IT-Sicherheit im eigenen Unternehmen bestellt ist, können Sie mit dem kostenlosen Online-Test der Initiative Deutschland sicher im Netz e.V. überprüfen (Rubrik Unternehmen). Wer alle Fragen beantwortet, erhält umgehend eine Auswertung und erste Tipps und Handlungsempfehlungen: www.sicher-im-netz.de